Takmičenje hakera Pwn2Own: pobednik iskoristio ranjivost IE 8 na Windows 7
Vesti, 05.04.2010, 11:57 AM
VANCOUVER, BC - Preskakanjem niza anti-exploit prepreka, holandski haker Peter Vreugdenhil izvojevao je impresivnu pobedu na takmičenju hakera CanSecWest Pwn2Own, hakujući kompletno 'patch'-ovan Windows 7 64-bit, koristeći pri tom par ranjivosti Internet Explorer-a.
Vreugdenhil, nezavisni istraživač koji se specijalizovao u pronalaženju i iskorišćavanju 'client-side' ranjvosti, koristio je posebne trikove za premošćavanje ASLR (Address Space Layout Randomization) i DEP (Data Execution Prevention), dve značajne sigurnosne zaštite ugrađene u Windows platformu.
„Počeo sam premošćavanjem ALSR što mi je dalo osnovnu adresu jednog od modula učitanih u IE. Koristio sam to saznanje i za premošćenje DEP,“ dodao je on.
Vreugdenhil , koji je osvojio novčanu nagradu od 10000 dolara i novi Windows kompjuter, rekao je da koristi 'fuzzing' tehnike kako bi pronašao ranjivosti softvera. „Posebno tragam za 'bug'-om u mojim 'fuzzing' logovima zato što ih mogu koristiti za premošćavanje ASLR,“ rekao je on.
Posle pronalaženja ranjivosti na IE8, Vreugdenhil je rekao da je mu trebalo oko dve nedelje za pisanje 'exploit'-a protiv odbrane ASLR+DEP.
Članovi Microsoft-ovog IE tima bili su svedoci Vreugdenhil-ovog 'eploit'-a. Predstavnik kompanije je izjavio da oni još uvek ne znaju detalje o ranjivosti ali da će pokrenuti proces bezbedonosnog odgovora onda kada se sa sakupe informacije od organizatora takmičenja.
TippingPoint Zero Day Initiative (ZDI), kompanija koja sponzoriše takmičenje hakera se nada da će svi podaci o propustima biti poslati proizvođačima koji su njima pogođeni.
Izvor: http://threatpost.com/en_us/blogs/hacker-exploits-ie8-windows-7-win-pwn2own-032410
---------
Vest preuzeta sa:
http://threatpost.com/
Izdvojeno
Korisnici iPhonea mete napada upitima za resetovanje lozinke
Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje
Mobi Banka upozorava na pokušaje prevare na društvenim mrežama
Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje
Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare
Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje
Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare
Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje
Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji
Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje
Pratite nas
Nagrade